第7章 安全电子交易协议SET(新).ppt

第7章 安全电子交易协议SET 第7章 安全电子交易协议SET 第7章 安全电子交易协议SET 7.1 SET支付系统概述 7.2 SET证书管理 7.3 SET协议的相关技术 7.4 SET协议流程 7.5 安全套接层协议SSL 7.6 典型交易协议比较 7.1 SET支付系统概述 作用：SET安全电子交易协议是一种应用于因特网环境，以信用卡为基础的电子支付交易协议，用来实现开放网络上持卡交易的安全性。 制定者：在上世纪90年代中期，由信用卡国际组织、IT企业及网络安全专业团体(如：Visa International、MasterCard International、IBM、Microsoft、Netscape、GTE、Verisign、SAIC等) 使用的技术：公开密钥RSA 、对称密钥DES 、HASH函数、数字签名、数字信封、双重签名、数字证书等安全技术 部署范围：符合SET协议的相关软件安装在持卡人的个人计算机、网络商店与收单银行的网络服务器主机与认证中心服务器中 7.1 SET支付系统概述 7.1.1 SET的目标 7.1.2 SET的参与方 7.1.1 SET的目标 SET要实现的目标是：实现因特网环境安全电子交易；保证信息在互联网上的安全传输；保证网上传输的数据不被黑客或内部人员窃取；实现定单信息和个人帐号信息的分离(如：在将包括持卡人帐号信息的定单送到商家时，商家只能看到定货信息，而看不到持卡人的帐号信息。同样，这一信息传到银行时，银行只能看到帐号信息而看不到定货信息)；持卡人和商家的身份认证，以确定通信双方身份的真实性。SET是一个基于可信的第三方认证中心CA(Certificate Authority)的安全电子交易协议 7.1.1 SET的目标 1. 应用的跨平台性：提供一个开放的协议标准。明确定义细节，以确保不同厂商开发的应用程序可共同动作，促成软件互通；在现存各种标准下构建协议，允许在任何软硬件平台上实现 2. 保障支付安全：确保支付信息的隐密性及完整性，提供持卡人、网络商家、支付网关的认证，并定义所需要的算法及相关协定 3. 全球市场的接受性：在易使用性和对网络商家、持卡人影响最小的前提下，达到全球普遍性。允许在目前使用者的应用软件环境中，嵌入支付协定的执行，对收单银行与网络商家、持卡人与发卡银行间的关系，以及信用卡组织的基础构架改变最少 7.1.2 SET的参与方 在SET系统中，完成一笔安全电子商务的交易，通常包含六个主要的参与方 7.1.2 SET的参与方 7.1.2 SET的参与方 1. 持卡人(Cardholder)：持卡人通过WEB浏览器或客户端软件直接与网络商家互动购物。第一次上网购物前，须向认证中心CA注册登记，取得数字证书后，才可以使用经过 SET协议认证的电子钱包(E-Wallet)以及其他电子凭证进行交易。持卡人要在安全电子商务环境中进行付款操作，还必须做到以下几点： (1) 安装一套符合SET协议标准的钱包软件； (2) 从发卡银行获取一张信用卡/银行卡； (3) 从身份认证机构获取一张数字证书。 7.1.2 SET的参与方 2. 网络商家(Merchant)：提供网络商店或商品光盘给消费者；首先须与信用卡收单银行签定协议，向认证中心申请到数字证书，其次必须使用经过 SET 协议认证过的商家服务器软件，负责消费者在网上付款的查核。网络商家要在安全电子商务环境中提供付款操作，还必须： (1) 安装一套符合SET标准的商家软件； (2) 在收款银行开有自己的收款帐户； (3) 从身份认证机构获取一张数字证书。 7.1.2 SET的参与方 3. 发卡银行(Issuer)：为持卡人建立一个银行帐户，并发放支付卡（信用卡或借记卡）；负责持卡人身份认证，同时从事发放数字证书的各项审核工作；持卡人数字证书的签发既可以由发卡银行发放，也可以由专业的认证中心CA签发。在符合银行管理规则与地方法规的前提下，持卡人使用支付卡进行授权交易时，发卡银行应保证兑现付款。发卡银行不属于安全电子商务交易的直接组成部分，但却是授权与清算操作的主要参与方。 7.1.2 SET的参与方 4. 收单银行(Acquirer)：为商家建立一个银行帐户，并且处理支付卡的授权和付款事宜。同样，收单银行也不属于安全电子商务交易的直接组成部分，但却是授权与清算操作的主要参与方。 7.1.2 SET的参与方 5. 支付网关（Payment Gateway）：是由收单银行或收单银行指定的第三方运行的一套设备，用来处理商家的付款信息以及持卡人发出的付款指令，将网络商家传来的SET报文转换成原信用卡信息，处理支付卡的授权和支付。 (1) 安装一套符合S